冰血封情

邪恶八进制信息安全团队创始人

《信息泄漏蝴蝶效应从民众到国家安全》

亚马逊热带雨林中，一只蝴蝶不经意间煽动一下翅膀，也许两周之后，美国中部地区就会迎来一场龙卷风。在网络空间安全中，更是牵一发而动全身，一位普通网民的数据泄露，影响的不仅仅是个人，可能会导致公司数据泄露，甚至还可能会导致国家某些重要数据泄露。比如一个流氓软件，它可以默默收集用户信息，比如登录地点、IP地址等，轻而易举就可以掌控数亿民众的信息。试想一下，如果这个流氓软件被外国敌对势力掌控，结果会如何？本议题将从民众信息泄露层层递进，披露如何从一个小小的个人信息泄露威胁国家安全。
介磊

四维创智（北京）科技发展有限公司移动应用安全部门负责人信息安全研究员

《暗潮涌动的移动应用安全——技术和产品的看山之路》

宋代禅宗大师提出参禅有三重境界：参禅之初，看山是山，看水是水；禅有悟时，看山不是山，看水不是水；禅中彻悟，看山仍然山，看水仍然是水。而现今新的技术和思想导致信息安全研究之路更为复杂，一个安全从业人员可能会不断在三重境界中徘徊。秉承自网络安全和物联网安全，移动安全在人们的生活、办公中扮演了不可忽视的重要角色。传统网络安全的研究及其防御体系已经愈加成熟，安全从业者对于在移动安全中，处于上层的移动应用安全的研究定会开拓一种新的视野。本议题从一个安全研究者的视角出发，来看待国内安全从业人员和相关厂商在移动应用安全领域所取得的成就和瓶颈，并结合自身这些年对移动应用安全漏洞的挖掘经验和产品研发实例来阐述安全技术和安
蒸米

阿里移动安全专家，香港中文大学博士

《iOS/macOS内核调试与堆风水》

内核代码的错误非常难重现并且可能导致整个系统panic并重启，只有通过内核调试才能很好的分析panic的现场。但内核调试是一件很有挑战性的事情，因为内核代码不能在调试器中执行，也不能被简单地跟踪。好消息是macOS上提供了非常强大的内核调试功能，利用好这些辅助功能可以在内核漏洞分析和利用的时候起到事半功倍的效果。虽然iOS上没有官方的内核调试功能，我们依然可以利用一些技巧进行内核调试。本次演讲会分享一些iOS/macOS内核调试的技术，并结合内核调试向大家介绍iOS/macOS上新加入的几种内核堆缓解机制。为了绕过这些最新的缓解机制，我们还会介绍两种新的内核堆风水利用技术，并展示如何利用堆风水技术结合内核漏洞获取iOS 10和macOS 10.12的内核任意读写权限并提权。
沈勇

沈勇，平安集团担任资深安全产品经理，同时也是云安全联盟(CSA)上海分会的联席负责人。沈先生具有15年信息安全领域的工作经验，历任eBay信息安全经理，上海安言咨询ISO27001顾问，惠普公司业务连续性和容灾解决方案顾问，上海格尔软件工程师和项目经理等职。沈先生毕业于上海交通大学，维持着多个安全职业认证包括CISSP，CISA和CCSK。

《云安全审计的现状与展望》

云计算已从概念阶段走进了很多企业，甚至公共事业、政府部门也在开始使用云。很多机构的日常运行已经离不开云了。云计算自其概念提出以来，其安全性就一直是大家关心讨论的热点。一个云系统，她的安全性到底的好不好、是否如其看起来或声称的一样安全？这个问题一直萦绕在云的管理者和用户心头。审计就是为了回答这些问题。云环境中的安全审计与传统环境下有哪些不同？云中审计会遇到哪些新的挑战？有哪些新的发展趋势？我们将在xkungfoo2017现场与您分享。
Seeker

中国海天集团有限公司CEO

《入侵，从手机开始的情报获取、监控和网络渗透》

设定场景：从高管们的智能手机开始，突破一个大型企业网络。介绍主要攻击思路，从最常用的WiFi渗透开始，重点介绍利用电信网络漏洞和设计缺陷从基带和蜂窝数据层面突破智能手机，拿到敏感数据和权限，并以此为跳板渗透整个企业网络的方法。
朱芳雅

朱芳雅，唯品会高级信息安全工程师，香港城市大学研究生。

《虚拟商品的安全之路》

随着虚拟商品市场的迅猛发展，黑灰产也瞄准了这块大蛋糕，相比于实物商品的售卖，虚拟商品的售卖对风控提出了更高的要求。本次分享将会给大家介绍我们是如何利用有限的信息，去发现异常，保护用户的虚拟商品交易环节。
张伟

张伟博士是泰格实验室安全研究员，主要从事密码破解实践等方面的研究。

《数据泄露中的口令攻防对抗》

当前数据泄露有关注高、范围广、危害大三大特点，而口令是攻击者实施攻击行为的最后障碍。议题从趋势和防范手段上分析了数据泄露的现状，并通过多个实际泄露数据的口令破解案例，充分还原了近期攻防双方的技术对比与演进，同时给出了在当前技术条件下保护口令安全的必要措施建议。
李丹

李丹，绿盟科技威胁情报与网络安全实验室安全研究员。主要研究方向为多平台的恶意样本逆向分析、botnet识别与跟踪等。

《釜山行之进化僵尸——从僵尸网络看网络攻防》

议题简介：基于分析的botnet实例，从攻击链角度对网络攻防现状进行分析，提出完整的botnet跟踪及防护方案。技术亮点：以僵尸网络为基础，从攻击链角度对网络攻防现状分析；对当前IOT设备中的bot能够进行跟踪和识别。
张东红

目前就读于中国科学院软件研究所计算机科学国家重点实验室，主要从事于恶意代码检测、信息泄露检测、SQL注入漏洞方面的研究。

《大数据环境下的恶意代码检测》

议题简介：当前大数据环境背景下，依靠人工或者传统检测方法，如特征码识别、软件行为识别等，很难应对多种数据量大、软件行为复杂、实时性要求高的场景。面对此种困境，借助机器学习方法，通过大数据量的恶意代码训练检测模型，能够更为快速、有效地识别。议题从图像识别和文本分类两个方面对机器学习在恶意代码检测中的应用进行了介绍，并附以相关的实验数据，充分详实地展现了大数据环境背景下机器学习在恶意代码检测中的应用方法和前景。
河广

蚂蚁金服巴斯光年实验室高级安全研究员

《云代码fuzz分析框架》

议题简介：基于在虚拟机中模糊测试代码特性的角度,从防守者的角度对代码分析测试现状进行叙述,提出较通用的分析架构方案。
redrain

low level security researcher

《从冷门语言PostScript到流行软件漏洞》

议题简介： PostScript是一个由Adobe推出的非主流冷门编程语言，用于打印图像和文字，虽然冷门但是打印，字体绘制来说不可或缺，Google的神人j00ru在逆向Adobe的字体引擎过程中接触该语言，称之为可以统治所有平台的字体漏洞之源。在去年10月的工作中，我对PostScript和基于PostScript的引擎GhostScript进行了简单研究，发现了一些有趣的安全漏洞，并影响多个知名图像处理软件，在本次会议中会分享逆向ATMFD.dll(Adobe字体引擎)的有趣过程以及PostScript的新漏洞。
周辉

Maxent猛犸反欺诈CTO，联合创始人

《人工智能反欺诈的秘密武器--特征工程》

议题简介：近年来，随着移动互联网的兴起，各种传统的业务逐渐转至线上，互联网金融、电子商务迅速发展，商家针对营销及交易环节的推广活动经常以返利的形式进行。由于有利可图，此类线上推广迅速滋生了针对返利的系统性的优惠套利欺诈行为，俗称薅羊毛。由于移动设备的天然隐蔽性和欺诈行为的多变性，使得薅羊毛防不胜防。但是魔高一尺，道高一丈。在实践中，我们发现，一个基于统计和机器学习的多层动态风险评分体系和决策系统能有效地抵御“羊毛党”的攻击。那如何打造这样一个系统呢？我们将在xKungfoo2017现场与您探讨。
王启泽

就职于北京启明星辰ADLab，有十年以上年的移动通信及安全芯片相关技术工作经验。

《TrustZone安全技术研究》

议题简介：随着移动互联网和智能终端的发展，智能设备进入了人类生活的方方面面。由于普通移动终端操作系统的开放性和复杂性使得移动终端平台的安全性得不到保障。为此，ARM公司推出了TrustZone技术，可以通过TrustZone技术实现内存隔离和外设保护，提出了可信执行环境的概念。未来伴随着物联网的高速发展，每年带TrustZone技术的arm物联网芯片将达到百亿颗，安全和互联将成为物联网的重点。TrustZone安全技术将成为移动互联网和物联网安全的主要安全研究热点。启明星辰安全研究员王启泽介绍了TrustZone技术的背景，安全技术架构及启明星辰在TrustZone安全技术的研究。着重对TrustZone技术的缺陷和攻击面做了介绍，并提出了TrustZone在内核安全加固方面的思路。
刘亚

360网络安全研究院数据分析工程师。从事蜜罐/蜜网的数据分析、botnet的检测和跟踪等工作。

《如何评估你的DDoS Botnet跟踪？》

议题简介：“DDoS僵尸网络（botnet)跟踪”可以用来实时获取那些通过botnet发起的DDoS攻击的信息，比如所使用的botnet家族、C2控制端域名和IP、控制端口、攻击类型以及具体的攻击参数。这些信息除了有助于DDoS攻击的检测和防御，还可以用来对攻击进行溯源，找出幕后的控制者。但实际用于DDoS攻击的botnet非常多，为了改进跟踪工作，一方面我们需要不断添加跟踪新出现的家族和控制端，另一方面也要对已有跟踪情况进行评估。对于后者，我们需要知道：1）流行的DDoS botnet中有多少属于家族未知的（即不能跟踪的）？2）对于家族已知的（即可跟踪）botnet，有多少C2 server不在我们的跟踪范围内？回答这两个问题的最好方法是分析实际发生的DDoS攻击，找出那些实际发生但未被跟踪到的攻击。此时的问题变为：如果未被跟踪到的攻击来自已知的botnet家族，我们能否将其归结到这个家族？我们能否肯定某个DDoS攻击由未知的botnet家族发起？
王辉

360网络安全研究院数据分析工程师。主要从事蜜罐/蜜网系统的运营和数据分析、DDoS攻击分析、pDNS数据分析等工作。

《如何评估你的DDoS Botnet跟踪？》

议题简介：“DDoS僵尸网络（botnet)跟踪”可以用来实时获取那些通过botnet发起的DDoS攻击的信息，比如所使用的botnet家族、C2控制端域名和IP、控制端口、攻击类型以及具体的攻击参数。这些信息除了有助于DDoS攻击的检测和防御，还可以用来对攻击进行溯源，找出幕后的控制者。但实际用于DDoS攻击的botnet非常多，为了改进跟踪工作，一方面我们需要不断添加跟踪新出现的家族和控制端，另一方面也要对已有跟踪情况进行评估。对于后者，我们需要知道：1）流行的DDoS botnet中有多少属于家族未知的（即不能跟踪的）？2）对于家族已知的（即可跟踪）botnet，有多少C2 server不在我们的跟踪范围内？回答这两个问题的最好方法是分析实际发生的DDoS攻击，找出那些实际发生但未被跟踪到的攻击。此时的问题变为：如果未被跟踪到的攻击来自已知的botnet家族，我们能否将其归结到这个家族？我们能否肯定某个DDoS攻击由未知的botnet家族发起？